網(wǎng)上投稿
近年來, 全球科技競爭與地緣博弈的加劇, 使得中國企業(yè)境外上市涉及的網(wǎng)絡安全和數(shù)據(jù)合規(guī)問題被越發(fā)重視,近兩年來百余家中國企業(yè)境外上市的證監(jiān)會備案反饋中, 網(wǎng)絡安全和數(shù)據(jù)合規(guī)問題均為高頻問題, 對于涉及互聯(lián)網(wǎng)或大量C端用戶數(shù)據(jù)的行業(yè), 則幾乎是監(jiān)管的必問問題。
從2020年《網(wǎng)絡安全審查辦法》將關鍵信息基礎設施運營者(CIIO)納入審查范圍, 到2023年《境內(nèi)企業(yè)境外發(fā)行證券和上市管理試行辦法》確立備案制下的網(wǎng)絡安全、數(shù)據(jù)安全審查義務, 再到2025年《網(wǎng)絡數(shù)據(jù)安全管理條例》構(gòu)建覆蓋數(shù)據(jù)全生命周期的分類、分級保護體系, 監(jiān)管機構(gòu)逐步搭建了一張貫穿企業(yè)上市前備案、上市中審查、上市后監(jiān)管的全鏈條數(shù)據(jù)合規(guī)網(wǎng)絡。
對于擬境外上市的企業(yè)而言, 這一監(jiān)管演進并非簡單的程序性要求, 由于數(shù)據(jù)就像血液流淌在企業(yè)經(jīng)營的每一個角落, 一旦這方面留下合規(guī)隱患, 往往牽一發(fā)而動全身, 輕則延滯企業(yè)境外上市進程, 重則可能像某些互聯(lián)網(wǎng)平臺企業(yè)一樣鎖死企業(yè)未來資本運作空間, 因此其重要性已無需贅言。
更值得關注的是, 當下, 監(jiān)管邏輯已從“被動響應”轉(zhuǎn)向“主動防控”——2025年生效的《網(wǎng)絡數(shù)據(jù)安全管理條例》不僅要求企業(yè)建立覆蓋數(shù)據(jù)采集、存儲、使用的全流程防護體系, 更賦予監(jiān)管部門對企業(yè)境外上市后數(shù)據(jù)活動的動態(tài)監(jiān)控權(quán)。這意味著, 企業(yè)需在上市前完成數(shù)據(jù)資產(chǎn)盤點、供應鏈安全評估、數(shù)據(jù)跨境傳輸路徑設計等系統(tǒng)性工程, 傳統(tǒng)“上市時應付、上市后補救”的思路將會為企業(yè)埋下隱患。
一、網(wǎng)絡安全與數(shù)據(jù)合規(guī)體系一覽
針對企業(yè)境外上市過程中涉及的網(wǎng)絡安全和數(shù)據(jù)合規(guī)事項, 我們結(jié)合項目實踐, 將主要法律、法規(guī)和規(guī)范性文件等梳理如下:
除上述主要規(guī)定外, 還有部分推薦性的國家標準和協(xié)會指南, 這些標準或指南雖不具有強制約束力, 但在實踐操作中能很好地彌補相關專業(yè)概念的定義空白, 具有很強的實務參考意義, 主要包括:
1.《信息安全技術-個人信息安全規(guī)范》(GB/T 35273-2020)
2.《信息安全技術-移動互聯(lián)網(wǎng)應用程序(App)收集個人信息基本要求》(GB/T 41391-2022)
3.《App違法違規(guī)收集使用個人信息自評估指南》
4.《網(wǎng)絡安全標準實踐指南-移動互聯(lián)網(wǎng)應用程序(App)收集使用個人信息自評估指南》
5.《移動互聯(lián)網(wǎng)應用程序(App)個人信息保護常見問題及處置指南》
6.《互聯(lián)網(wǎng)個人信息安全保護指南》
7.《信息安全技術-網(wǎng)絡安全等級保護定級指南》(GB/T 22240-2020)
8.《信息安全技術-網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)
9.《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》(GB/T 43697-2024)
10.《網(wǎng)絡安全標準實踐指南—網(wǎng)絡數(shù)據(jù)分類分級指引》等。
二、監(jiān)管規(guī)則的建立與演變
(一) 制度奠基階段(2020-2022): 安全審查框架初建
盡管《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》兩部關于網(wǎng)絡和數(shù)據(jù)安全的基本法律已于2017年及2019年相繼問世, 但彼時并未立即出臺相應的配套規(guī)章。直到2020年4月, 國家網(wǎng)信辦等12部門聯(lián)合發(fā)布《網(wǎng)絡安全審查辦法》(2020年版), 將網(wǎng)絡安全審查的具體規(guī)范予以明確, 首次將關鍵信息基礎設施運營者(CIIO)采購網(wǎng)絡產(chǎn)品和服務納入審查范圍, 要求預判國家安全風險。《網(wǎng)絡安全審查辦法》于2022年2月被進一步修訂后, 新增網(wǎng)絡平臺運營者數(shù)據(jù)處理活動的審查情形, 明確掌握超100萬用戶個人信息的企業(yè)赴國外上市需申報安全審查, 標志著數(shù)據(jù)安全成為境外上市監(jiān)管的核心要素之一。實際操作中, 此階段監(jiān)管聚焦于基礎設施和頭部平臺, 并未覆蓋中小型企業(yè)的境外上市場景。
(二) 體系完善階段(2023-2024): 備案制與分類監(jiān)管
2023年3月, 證監(jiān)會發(fā)布《境內(nèi)企業(yè)境外發(fā)行證券和上市管理試行辦法》, 確立境外上市備案制, 同時明確涉及網(wǎng)絡安全、數(shù)據(jù)安全等領域的需履行安全審查程序。2024年3月, 《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》出臺, 細化數(shù)據(jù)出境豁免情形(如國際貿(mào)易、學術合作等場景), 并建立自貿(mào)區(qū)負面清單機制, 允許特定區(qū)域企業(yè)豁免部分安全評估義務。此階段政策通過“備案+審查”雙軌制, 平衡開放與安全, 但執(zhí)行中仍存在一系列標準和定義不清晰的問題。
(三) 全面強化階段(2025): 數(shù)據(jù)主權(quán)與動態(tài)監(jiān)管
2025年1月施行的《網(wǎng)絡數(shù)據(jù)安全管理條例》成為網(wǎng)絡數(shù)據(jù)安全監(jiān)管的一大里程碑, 主要體現(xiàn)在以下三個方面:
1.分類分級保護: 將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)三級, 要求企業(yè)識別、申報重要數(shù)據(jù), 重要數(shù)據(jù)處理者需設立安全負責人機構(gòu);
2.跨境流動機制: 明確個人信息出境的允許情形, 包括“通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估、按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證、符合國家網(wǎng)信部門制定的關于個人信息出境標準合同的規(guī)定”等。
3.動態(tài)監(jiān)管權(quán): 賦予網(wǎng)信部門對境外上市后數(shù)據(jù)活動的持續(xù)監(jiān)督權(quán), 要求重要數(shù)據(jù)處理者定期向省級以上有關主管部門提交風險評估報告。該條例與《境內(nèi)企業(yè)境外發(fā)行證券和上市管理試行辦法》形成閉環(huán), 實現(xiàn)從上市前備案到上市后合規(guī)的全周期監(jiān)管。
三、結(jié)語
境內(nèi)企業(yè)境外上市涉及的網(wǎng)絡安全和數(shù)據(jù)監(jiān)管體系歷經(jīng)五年迭代, 從單一安全審查發(fā)展為涵蓋備案、數(shù)據(jù)分類監(jiān)管、數(shù)據(jù)跨境流動監(jiān)管的全鏈條體系。未來, 隨著更多配套細則的出臺, 我們相信監(jiān)管將更趨技術化和常態(tài)化, 企業(yè)在境外上市過程中, 需從“合規(guī)+技術+戰(zhàn)略”的三維角度搭建網(wǎng)絡和數(shù)據(jù)安全體系, 即“明確法律合規(guī)紅線”、“貼合企業(yè)技術特征”、“戰(zhàn)略高度前瞻布局”, 方能一改在境外上市過程中的被動應對狀態(tài), 以更低成本、更加高效、更具確定性的方式處理網(wǎng)絡安全和數(shù)據(jù)合規(guī)領域問題。
【文章僅代表作者本人觀點, 不代表通力律師事務所的法律意見或建議。我們明示不對任何依賴該等文章的任何內(nèi)容而采取或不采取行動所導致的后果承擔責任。】